programinės įrangos kūrimasIT valdymasdevopsprojektų valdymas

Greitas diegimas ir rizikos valdymas

Pasirinkimas tarp greičio ir saugumo dažnai nulemia įmonės rinkos trajektoriją. Nors greitas diegimas teikia pirmenybę greitam produktų pateikimui vartotojams, siekiant užimti rinkos dalį, rizikos valdymas orientuotas į stabilumą, atitiktį reikalavimams ir ilgalaikį gyvybingumą. Norint subalansuoti šias dvi filosofijas, reikia suprasti, kada reikia greitinti, o kada stabdyti dėl saugumo.

Akcentai

Greitas diegimas sumažina „techninę skolą“, nes skatina nedidelius, lengvai valdomus atnaujinimus.
Rizikos valdymas apsaugo prekės ženklo reputaciją, sumažindamas viešųjų paslaugų trikdžius.
Greitai diegiami automatizuoti vamzdynai leidžia tiekti prekes visą parą.
Griežtas valdymas užtikrina atitiktį tarptautiniams saugumo standartams, tokiems kaip ISO 27001.

Kas yra Greitas dislokavimas?

Į judrumą orientuota strategija, kurios centre – dažni išleidimai, greitas pateikimas rinkai ir iteracinis vartotojų atsiliepimų pateikimas inovacijoms skatinti.

Dažniausiai naudojami nuolatinės integracijos ir nuolatinio diegimo (CI/CD) kanalai.
Sutrumpina laiką nuo kodo rašymo iki vertės pateikimo klientams.
Labai priklauso nuo automatizuoto testavimo, kad būtų išlaikytas pradinis kokybės lygis.
Priklauso nuo greito gedimo mentaliteto, kad prisitaikytų prie realaus naudojimo.
Kilęs iš „Agile“ ir „DevOps“ metodologijų, skirtų padalinių tarpusavio susiskaldymui panaikinti.

Kas yra Rizikos valdymas?

Daug dėmesio skiriant valdymui, pirmenybę teikiant sistemos veikimo laikui, atitikčiai reglamentams ir galimų saugumo pažeidžiamumų mažinimui.

Įtraukia oficialias pakeitimų patariamąsias tarybas (CAB), kurios peržiūri svarbius atnaujinimus.
Dėmesys skiriamas techninių ir operacinių grėsmių nustatymui, vertinimui ir prioritetų nustatymui.
Dažnai privaloma griežtai reguliuojamose pramonės šakose, tokiose kaip bankininkystė ir sveikatos apsauga.
Naudoja plačias parengimo aplinkas gamybos stresui imituoti.
Siekiama užkirsti kelią „kaskadiniams gedimams“, kurie gali sukelti didelius paslaugų teikimo sutrikimus.

Palyginimo lentelė

Funkcija	Greitas dislokavimas	Rizikos valdymas
Pagrindinis tikslas	Rinkos reagavimas	Sistemos stabilumas
Paleidimo ritmas	Kasdien arba kelis kartus per dieną	Kas mėnesį, kas ketvirtį arba kas du metus
Gedimų tolerancija	Aukštas (fiksuoti į priekį)	Žemas (užkirsti kelią bet kokia kaina)
Pagrindinė metodologija	DevOps / CI-CD	ITIL / valdymo sistemos
Atsiliepimų ciklas	Tiesioginis naudotojo duomenų perdavimas	Atidėta kontroliuojamų tyrimų metu
Veiklos išlaidos	Didelės investicijos į automatizavimą	Didelės personalo / priežiūros išlaidos
Ideali pramonė	Vartotojų programėlės / SaaS	Finansinės technologijos / Sveikatos priežiūra / Infrastruktūra
Saugumo metodas	Shift-kairėn (automatiniai patikrinimai)	Kontrolė (rankinis auditas)

Išsamus palyginimas

Greitis ir stabilumas

Greitas diegimas greitį laiko konkurenciniu pranašumu, leidžiančiu komandoms reaguoti į konkurentų veiksmus per kelias valandas. Priešingai, rizikos valdymo srityje greitis vertinamas kaip potenciali kliūtis, pirmenybę teikiant lėtesniam, labiau apgalvotam tempui, kuris užtikrina, kad kiekvienas kraštutinis atvejis būtų dokumentuojamas ir tvarkomas dar prieš tai, kai bent vienas vartotojas pamato atnaujinimą.

Automatizavimas ir žmonių priežiūra

Greitai besikeičiančioje aplinkoje automatizavimas yra pagrindinis vartininkas, naudojantis scenarijus klaidoms aptikti prieš joms pasiekiant gamybą. Rizikos valdymo strategijos dažnai apjungia žmonių patirtį su automatizavimu, todėl reikia kelių parašų ir kolegų atsiliepimų, siekiant užtikrinti, kad pakeitimo logika atitiktų platesnius verslo tikslus ir saugos standartus.

Sistemos gedimų tvarkymas

Kai kas nors nepavyksta, greito diegimo šalininkai paprastai „perkelia į priekį“, siūlydami greitą pataisą, kad išspręstų esamą problemą. Rizikos valdymo komandos paprastai pirmenybę teikia nedelsiant „grįžimui“ prie žinomos stabilios versijos, teikdamos pirmenybę paslaugos atkūrimui, o ne neatidėliotinam naujų funkcijų diegimui.

Atitiktis ir reglamentavimas

Startuoliams, veikiantiems nereguliuojamose srityse, greitas diegimas yra numatytasis pasirinkimas, nes nedidelės klaidos kaina yra maža. Tačiau organizacijoms, dirbančioms su jautriais duomenimis, rizikos valdymas yra ne tik pasirinkimas; tai teisinis reikalavimas, siekiant patenkinti auditorių reikalavimus ir apsaugoti vartotojų privatumą taikant griežtas, dokumentuotas kontrolės priemones.

Privalumai ir trūkumai

Greitas dislokavimas

Privalumai

+ Greitesni inovacijų ciklai
+ Aukšta kūrėjų moralė
+ Tiesioginiai vartotojų atsiliepimai
+ Didesnis rinkos lankstumas

Pasirinkta

− Galimos nedidelės klaidos
− Didesnė perdegimo rizika
− Reikalingi sudėtingi įrankiai
− Sudėtingas atitikties stebėjimas

Rizikos valdymas

Privalumai

+ Numatomas sistemos elgesys
+ Stipri saugumo pozicija
+ Atitiktis reglamentams
+ Sumažintas nutrūkimų dažnis

Pasirinkta

− Lėtesnis pateikimo į rinką laikas
− Didesnės pridėtinės išlaidos
− Nusivylę suinteresuotieji asmenys
− Galimos praleistos tendencijos

Dažni klaidingi įsitikinimai

Mitas

Greitas diegimas reiškia, kad testavimas visiškai praleidžiamas.

Realybė

Iš tikrųjų greitai besikeičiančios komandos dažnai turi daugiau testų nei tradicinės; jos juos tiesiog automatizuoja, kad galėtų atlikti per kelias sekundes, o ne dienas.

Mitas

Rizikos valdymas tėra lėtos pažangos pasiteisinimas.

Realybė

Griežtas valdymas skirtas apsaugoti verslą nuo egzistencinių grėsmių, tokių kaip didžiulis duomenų nutekėjimas ar negrįžtamas duomenų praradimas, kurie galėtų užbaigti įmonės veiklą.

Mitas

Jums reikia pasirinkti tik vieną arba kitą variantą.

Realybė

Šiuolaikinės „DevSecOps“ sistemos bando suderinti abu šiuos aspektus automatizuodamos saugumo ir atitikties patikras tiesiai į sparčiai besikeičiantį diegimo procesą.

Mitas

Tik mažos pradedančiosios įmonės naudoja greitą diegimą.

Realybė

Tokios milžiniškos technologijų įmonės kaip „Amazon“ ir „Netflix“ diegia kodą tūkstančius kartų per dieną, naudodamos itin sudėtingas automatizuotas apsaugines sistemas.

Dažnai užduodami klausimai

Ar greitas diegimas lemia daugiau saugumo pažeidžiamumų?

Nebūtinai. Nors tempas greitesnis, greitas diegimas dažnai naudoja „shift-left“ apsaugą, o tai reiškia, kad pažeidžiamumai aptinkami ankstesniame kodavimo proceso etape automatizavimo būdu. Tačiau jei automatizavimas yra prastai sukonfigūruotas, rizikos gali būti lengviau pastebimos nei rankinio audito proceso metu.

Koks didžiausias iššūkis pereinant prie rizikos valdymo modelio?

Pagrindinė kliūtis dažniausiai yra kultūrinė, o ne techninė. Programuotojai dažnai jaučiasi slopinami papildomų patvirtinimo sluoksnių, todėl organizacija turi rasti būdą išlaikyti pagreitį, kartu laikydamasi naujų kontrolinių punktų ir dokumentacijos reikalavimų.

Ar įmonė gali naudoti abi strategijas vienu metu?

Taip, tai dažnai vadinama „bimodaline IT“. Įmonė gali naudoti greitą klientams skirtos mobiliosios programėlės diegimą, kad išliktų madinga, tuo pačiu metu taikydama griežtą rizikos valdymą savo pagrindinėje duomenų bazėje ir finansinės apskaitos sistemose, kad užtikrintų absoliutų duomenų vientisumą.

Kaip automatiniai „kanarėlių paleidimai“ dera prie šio palyginimo?

„Canary“ leidimai yra puikus kompromisas. Jie leidžia greitai diegti, pirmiausia atnaujinimą pateikiant labai mažam 1% vartotojų. Jei rizikos valdymo metrikos nerodo klaidų, atnaujinimas automatiškai išleidžiamas visiems kitiems.

Kurį metodą brangiau išlaikyti?

Rizikos valdymas paprastai turi didesnes nuolatines darbo sąnaudas dėl rankinio peržiūrėjimo ir specializuotų atitikties pareigūnų poreikio. Greitas diegimas yra susijęs su didelėmis išankstinėmis automatizavimo išlaidomis, tačiau komandai plečiantis, jis paprastai tampa ekonomiškesnis.

Kodėl bankai beveik visada teikia pirmenybę rizikos valdymui?

Bankai veikia pagal griežtus teisinius reglamentus, tokius kaip Bazelis III arba vietos bankininkystės įstatymai. Jiems 10 minučių elektros energijos tiekimo sutrikimas ar viena neteisinga operacija yra daug brangiau nei šešių mėnesių vėlavimas pristatyti naują programėlės funkciją.

Ar „Agile“ yra tas pats, kas greitas diegimas?

Agile – tai filosofija, kai darbas suskaidomas į mažas dalis, o greitas diegimas – tai techninis šios filosofijos įgyvendinimas. Galima būti Agile ir nediegiant kasdien, tačiau daug sunkiau greitai diegti be Agile mąstysenos.

Kokį vaidmenį atlieka Pokyčių patariamoji taryba (PAT)?

CAB – tai suinteresuotųjų šalių grupė, kuri susitinka įvertinti siūlomų pakeitimų poveikį. Rizikos valdymo sistemoje jie veikia kaip galutiniai sargybiniai, užtikrinantys, kad pakeitimas neigiamai nepaveiks kitų skyrių ar įmonės teisinio statuso.

Kaip „Vidutinis atsistatymo laikas“ (MTTR) susijęs su šiomis sąvokomis?

Greitas diegimas orientuotas į trumpą MTTR, o tai reiškia, kad jei kas nors sugenda, tai galima sutaisyti per kelias minutes. Rizikos valdymas orientuotas į „vidutinį laiką tarp gedimų“ (MTBF), siekiant užtikrinti, kad gedimai įvyktų kuo rečiau.

Kas yra „greito gedimo“ filosofija?

Tai greito diegimo koncepcija, kai komandos išleidžia minimalų perspektyvų produktą, norėdamos pamatyti, ar vartotojai jo tikrai nori. Jei jis nepavyksta, jos praranda tik savaitės, o ne mėnesių, darbo, todėl gali greitai pereiti prie geresnės idėjos.

Nuosprendis

Greitas diegimas geriausiai tinka ankstyvos stadijos produktams ir konkurencingoms rinkoms, kuriose vartotojų atsiliepimai yra gyvybiškai svarbūs išlikimui. Rizikos valdymas turėtų būti prioritetas įsitvirtinusioms įmonėms ir didelės rizikos pramonės šakoms, kuriose viena prastovos valanda ar duomenų nutekėjimas gali sukelti katastrofišką finansinį ar teisinį žlugimą.

Susiję palyginimai

Abstraktūs principai ir realaus pasaulio poveikis

Kuriant valdymo sistemas, egzistuoja esminė įtampa tarp teorinių idealų grynumo ir painios praktinio įgyvendinimo realybės. Nors abstraktūs principai suteikia moralinį kompasą ir ilgalaikę viziją, realaus pasaulio poveikis sutelktas į tiesioginius rezultatus, kultūrinius niuansus ir nenumatytas pasekmes, kurios dažnai kyla, kai tobulos teorijos susiduria su netobulu žmonių elgesiu.

Atitiktis ir efektyvumas

Nors įmonių valdyme atitiktis dažnai vartojama kaip sinonimas, ji daugiausia dėmesio skiria išorinių įstatymų ir vidaus taisyklių laikymuisi, o veiksmingumas matuoja, kaip gerai šie veiksmai iš tikrųjų pasiekia norimą rezultatą. Organizacijos turi subalansuoti įstatymų raidės laikymąsi su praktine realybe – ar jų strategijos iš tikrųjų apsaugo verslą ir skatina veiklos rezultatus.

Bendruomenės inicijuotas planavimas ir planavimas „iš viršaus į apačią“

Sprendimai, kaip plėtoti mūsų miestus ir rajonus, dažnai priklauso nuo dviejų filosofijų pasirinkimo. Planavimas „iš viršaus į apačią“ remiasi centralizuota valdžia ir techniniais ekspertais, kurie skatina efektyvumą, o bendruomenės inicijuotas planavimas suteikia vietos gyventojams galių formuoti savo aplinką tiesiogiai dalyvaujant ir dalijantis sprendimų priėmimo galia.

Decentralizuotas dirbtinio intelekto naudojimas ir centralizuotas dirbtinio intelekto valdymas

Šiame palyginime nagrinėjama įtampa tarp atvirojo kodo, paskirstytų dirbtinio intelekto modelių diegimo visuomenėje ir struktūrizuotos, reguliavimo priežiūros, kurią pirmenybę teikia didelės korporacijos ir vyriausybės. Nors decentralizuotas naudojimas teikia pirmenybę prieinamumui ir privatumui, centralizuotas valdymas daugiausia dėmesio skiria saugos standartams, etiniam suderinamumui ir sisteminės rizikos, susijusios su galingais didelio masto modeliais, mažinimui.

Dirbtinio intelekto įgalinimas ir dirbtinio intelekto reguliavimas

Šiame palyginime nagrinėjama įtampa tarp dirbtinio intelekto spartinimo siekiant padidinti žmonių galimybes ir apsauginių barjerų įdiegimo siekiant užtikrinti saugumą. Nors įgalinimas orientuotas į ekonomikos augimo ir kūrybinio potencialo maksimalų didinimą per atvirą prieigą, reguliavimas siekia sušvelninti sisteminę riziką, užkirsti kelią šališkumui ir nustatyti aiškią teisinę atsakomybę už automatizuotus sprendimus.